Ondanks groeiend bewustzijn blijven fabrikanten geconfronteerd worden met een stortvloed aan aanvallen.
Van risico’s en datalekken in de keten tot de fysieke veiligheid van medewerkers: de maakindustrie is goed bekend met de uitdagingen rondom beveiliging van operational technology (OT). Het goede nieuws? Experts zien dat het bewustzijn bij fabrikanten toeneemt. Maar of dat ook leidt tot daadwerkelijke verbeteringen, blijft de vraag.
OT stuurt de processen en apparatuur aan die essentieel zijn voor productie. Deze systemen zijn ontworpen om lang mee te gaan, maar dat betekent ook dat er veel verouderde en niet meer ondersteunde technologie op de fabrieksvloer staat, systemen die moeilijk te updaten zijn. Daarnaast zorgt beperkt zicht op een groeiend aantal assets voor extra risico’s. En dan is er nog de menselijke factor.
“Menselijk handelen is de grootste risico-factor voor computersystemen, punt,” zegt Almog Apirion, CEO en mede-oprichter van Cyolo, leverancier van beveiligde remote privileged access voor OT- en industriële systemen.
Veel toegangspunten betekent veel problemen
Menselijke fouten leiden vaak tot verkeerd of te ruim toegangsbeheer. Fabrikanten moeten een brede reeks aan assets en bijbehorende toegangsrechten beveiligen. Het aantal toegangspunten groeit daarbij stevig door door fusies en overnames, waarbij nieuwe leveranciers en technologieën worden meegenomen, aldus Apirion. Voor de meeste bedrijven is volledig inzicht in alle toegangspunten inmiddels vrijwel onmogelijk. Daar bovenop is het lastig te achterhalen wie toegang heeft tot welke systemen, zeker wanneer meerdere gebruikers inloggen met hetzelfde admin-account. Dat maakt forensisch onderzoek na incidenten bijzonder ingewikkeld.
“Steeds vaker horen we van klanten: ‘Er is iets gebeurd in het weekend om drie uur ’s nachts, en het was Operator 1 of Admin 1, maar we weten niet wie,’ omdat zoveel mensen gebruikmaken van dezelfde accounts,” legt Apirion uit.
In een ander geval zag hij een gebruiker die zeven keer moest inloggen om toegang te krijgen. Als medewerkers zulke drempels moeten overwinnen om hun werk te kunnen doen, zoeken ze manieren om het systeem te omzeilen, met alle risico’s van dien.
IT krijgt voorrang boven OT
Een andere uitdaging is dat fabrikanten in uiteenlopende omgevingen werken. Productiesystemen kunnen verbonden zijn met de cloud, maar ook volledig offline draaien wat andere eisen stelt aan identiteit, segmentatie en beveiliging. De oude gedachte dat ‘als het niet verbonden is, het niet te hacken is’ gaat niet langer op, zegt Apirion. IT en OT zijn inmiddels sterk met elkaar vervlochten. Hoewel effectieve OT-beveiliging cruciaal is, ligt de focus in veel organisaties toch voornamelijk op IT.
“De beveiliging van IT is verder ontwikkeld, terwijl bedrijven hun geld verdienen met productie,” aldus Apirion.
Houdt de maakindustrie het groeiende aanvalsoppervlak bij?
Veel OT-problemen vinden hun oorsprong in de druk op bedrijven om kosten te verlagen, ketens te optimaliseren en technologie te adopteren om te kunnen opschalen, legt Kory Daniels uit, chief security and trust officer bij LevelBlue.
“Organisaties willen sneller AI adopteren, groeien, meer markten bedienen en competitiever worden en dat zet beveiliging onder druk. Kunnen we eigenlijk nog wel bijhouden hoe ons aanvalsoppervlak verandert?” zegt Daniels in gesprek met Dark Reading.
Dat vraagt om goed assetmanagement: inzicht in OT-systemen, systeemgezondheid, afhankelijkheden, connectiviteit met de bedrijfsomgeving, en hoeveel open-sourcesoftware wordt ingezet in de productie.
Daarnaast kampen bedrijven met meerdere structurele problemen:
- OT-systemen zijn nooit ontworpen om met internet verbonden te zijn.
- Er is een groeiend tekort aan medewerkers die de benodigde OT-expertise bezitten.
- Patchen is vaak lastig, omdat onderhoudsstops downtime betekenen, een luxe die fabrieken zich vaak niet kunnen veroorloven.
“Zelfs als je risico’s identificeert, wat doe je er dan mee?” vraagt Daniels. “En hoe zorg je dat beslissingen gebaseerd zijn op afgewogen risico-management, in plaats van simpelweg risico te accepteren uit angst om productie te verstoren?”
Meer bewustzijn, maar weinig verbetering
Ondanks de aanhoudende problemen ziet Apirion dat bedrijven alerter worden. Recente incidenten, zoals de ransomware-aanval op Asahi, zijn een wake-up call voor de sector. Naast de langdurige productiestilstand waarschuwde Asahi dat mogelijk ook persoonsgegevens zijn buitgemaakt. Het laat zowel financiële als ketenrisico’s zien.
“Supply chains zijn niet alleen een aanvalsvector: als zij geraakt worden, lijden de partijen in de keten mee,” zegt Apirion. “Als ik Asahi belever en zij verliezen marktaandeel, verlies ik omzet en moet ik mensen ontslaan. Alles is met elkaar verbonden.” Asahi staat daarin niet alleen. Uit een recent rapport van LevelBlue blijkt:
- 28% van de productiebedrijven kreeg het afgelopen jaar te maken met een beveiligingsincident.
- 37% zag een aanzienlijk hogere hoeveelheid aanvallen dan voorheen.
Daniels bevestigt dat het onderwerp inmiddels vaker op directieniveau wordt besproken. Zichtbare en ontwrichtende aanvallen, zoals bij Colonial Pipeline of Jaguar Land Rover, hebben dat bewustzijn versneld. Maar of OT-beveiliging daadwerkelijk verbetert, blijft de vraag.
“Hoe meten we eigenlijk vooruitgang?” vraagt Daniels. “Het is moeilijk te kwantificeren, tenzij je uitsluitend kijkt naar het aantal breaches.”
Wat kunnen fabrikanten doen?
Volgens Apirion is een identity-first security-strategie essentieel, gezien de aanwezigheid van legacy OT-systemen. Ook governance moet op orde zijn, zodat beveiliging standaard wordt meegenomen in technologieprojecten, bijvoorbeeld als er nieuwe markten worden betreden of efficiëntie wordt vergroot met AI, vult Daniels aan. Daarnaast is het belangrijk dat medewerkers weten wie ze moeten inschakelen bij incidenten, en dat security, compliance en IT hierin samenwerken.
Daniels besluit:
“Zorg voor volledig inzicht in het OT-landschap. Je kunt niet verdedigen wat je niet ziet en wat je niet weet.”
Bron: Operational Technology Security Poses Inherent Risks for Manufacturers
fotocredits: AndreyPopov